Licença Cisco ASA 5505, conectividade de interface "verdadeira"

Por padrão, os ASAs não permitem que o tráfego do nível de segurança entre em outra interface do mesmo nível de segurança. Este é o seu principal problema. same-security-traffic permit intra-interfacecomando é necessário.

Uso: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

As ACLs ALLOW_WIREDe ALLOW_WIRELESSsão definidas, mas não aplicadas a nenhuma interface. Além disso, recomendo alterar as ACLs de ACLs padrão para ACLs estendidas. As ACLs estendidas permitem o controle do tráfego por meio de origem e destino, em vez de apenas pela origem do tráfego.

Mudanças recomendadas: (Atualizado em 17/02/2017: Atualizando as ACLs para permitir acesso de saída irrestrito, conforme solicitado)

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

Observe que, embora a primeira regra em cada ACL seja supérflua, ela foi adicionada para fornecer algum contexto adicional sobre como a regra é usada.

Teste: Todas as saídas devem resultar em "Up".

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2